今週も脅威情報ニュースレターをお届けします。
10 月は、全米サイバーセキュリティ啓発月間です。この 13 日ほどの間にソーシャルメディアを利用したり、サイバーセキュリティ関連のニュースサイトを覗いたりした方なら、もうご存じかと思います。
サイバーセキュリティ啓発月間が始まると、それを揶揄するようなコメントやミームが大量に投稿されるのは今年も変わっていないようです。サイバーセキュリティを「啓発する」ことの意味をネタにしたミームや、こんな月間はなくてもよいのではという趣旨のジョークであふれ返っています。こんなに茶化されやすいのは、この月間が根本的にマーケティング主導のキャンペーンだからでしょう。セキュリティの道に身を捧げている専門家や研究者が、マーケティング主導の活動だとして反発しているのは有名な話です。
Black Hat のイベント会場にまでサイバーセキュリティ啓発月間のマスコットを登場させようと言いたいわけではありませんが、懐疑的な見方や冷やかすようなコメントにそろそろ歯止めをかけたほうがよいと思います。目指しているのは、セキュリティコミュニティのすそ野を広げることであって、専門外の人を締め出すことではないからです。私が Talos で働くようになったのは今から 5 年近く前のことですが、当時はセキュリティについてほとんど何も知りませんでした。前職ではバレエダンス、地方自治体の条例、土地区画法といったあらゆる話題について記事を書いていましたが、コンピュータ関連の会話で「コンテナ」という用語が出てきても、貨物船に積まれる大きな金属の箱しか思い浮かびませんでした。私が今までキャリアを積んでこられたのは、ひとえに会社や同僚からサポートを受けられたことと、的外れな会話に嫌な顔をせず付き合ってくれた人たちのおかげです。
セキュリティ業界に入って 5 年経ちましたが、学ぶことはまだたくさんあります。そんな私にとって、そうした入門レベルの会話、ミーム、「啓発」してくれる話、「5 歳の子どもだと思って」教えてくれる説明は、セキュリティをすんなり理解するのにとても役立っています。
先日、義理の姉が Instagram のアカウントをハッキングされました。Bitcoin のマイニングに悪用されたことから、やむを得ずアカウントを作り直したそうです。Instagram で多要素認証を利用できることは、ハッキングを受けるまで知らなかったようです。また、1 つのサイトでパスワードが侵害されたことから、攻撃者が同じパスワードと簡単に推測できる電子メールアドレスを使用して、別のサイトでログインを試みる可能性もあります。
私の妻は、郵便局を騙るフィッシングメールに引っ掛かりました。郵便局が実際に自分の荷物を預かっていると思い、電子メールの「宛先」フィールドを確認することなど思いも寄らず、「ussps.zone」などの紛らわしいリンクをクリックしてしまったのです。こうした事例が発生するのは、セキュリティリスクを軽視しているからではなく、セキュリティリスクがあること自体を知らないからです。
全米サイバーセキュリティ啓発月間の意義はそこにあります。このキャンペーンは、100 人ほどで構成される同じグループをこの 10 年間追跡してきたセキュリティ担当者のためにあるのではなく、いま猛威を振るっているサイバーセキュリティリスクについてもっと知る必要がある一般の人々のために展開されているのです。冗談を言うのは 1 ~ 2 週間ほどお休みして、同じ市外局番の番号からテキストメッセージが届いても闇雲にリンクをクリックしないよう注意喚起するほうが人の役に立つのではないでしょうか?
知らないことを尋ねることで人は学んでいくのです。私もそうして学んできましたし、同僚の多くも同じです(一見ばかげた質問をすることだってあります)。この 10 月に、セキュリティについて友人や家族ともっと気軽に話してみたい方は、シスコの全米サイバーセキュリティ啓発月間のページを覗いてみてください。便利なリソースがたくさん用意されています。
重要な情報
Microsoft 社は本日、月例のセキュリティ更新プログラムをリリースし、Windows PPTP(ポイントツーポイント トンネリングプロトコル)における 7 件の「緊急」の問題など、同社のハードウェアとソフトウェアの製品で見つかった 83 件の脆弱性を公開しました。10 月のセキュリティ更新プログラムで「緊急」と評価された脆弱性は 11 件で、残りは「重要」となっています。
注意すべき理由
今月のセキュリティリリースで緊急と評価された脆弱性の多くは、エクスプロイトされるとリモートでコードが実行される危険性があります。これは通常、脆弱性の中でも最悪の部類に入ります。Microsoft 社が今月修正した最も注目すべき脆弱性の 1 つが CVE-2022-41038 で、これは Microsoft SharePoint のリモートコード実行の問題です。今月の月例パッチには SharePoint の脆弱性が他にも数件含まれていますが、最も深刻なのがこの脆弱性のようで、Microsoft 社の評価では引き続き「悪用される可能性が高い」となっています。
必要な対策
Microsoft 社が提供しているセキュリティ更新プログラムガイドに従って、お使いのすべての Microsoft ハードウェアとソフトウェアにできるだけ早くパッチを適用してください。また Talos でも、これらの多くの脆弱性のエクスプロイトから保護するための Snort ルールをいくつかリリースしています。
今週のセキュリティ関連のトップニュース
Killnet というロシアの支援を受けた攻撃者が、世間を騒がせた複数のサイバー攻撃に関する犯行声明を今週発表しました。米国の主要な空港や州政府の Web サイトに対する妨害攻撃などの犯行声明です。同グループは Telegram への投稿の中で、ロサンゼルス国際空港、シカゴ・オヘア国際空港、アトランタのハーツフィールド・ジャクソン国際空港など、米国最大規模の複数の空港のサイトに対して分散型サービス妨害(DDoS)攻撃を行ったと語っています。ただし、運航業務に支障は生じませんでした。その前にも、コロラド州、コネチカット州、ケンタッキー州、ミシシッピ州の州政府が運営する Web サイト(地方選挙委員会を含む)に対して DDoS 攻撃を行っていました。また JP Morgan 銀行のインフラにも妨害攻撃を仕掛けたと主張していますが、同銀行は攻撃による悪影響は生じなかったと発表しています(情報源:NPR、SC Magazine、StateScoop)。
Microsoft 社が、Exchange Server で見つかったゼロデイ脆弱性「ProxyNotShell」に対する緩和策を更新しました。同社が当初発表した推奨事項は回避可能なことがセキュリティ研究者によって指摘されていました。ただし、今週の月例セキュリティ更新プログラムには、一部で期待されていたこの問題に対する正式なパッチは含まれていませんでした。この欠陥がエクスプロイトされると、基盤となるサーバーでリモートコードが実行される危険性があります。Microsoft 社は、実際に悪用されている Exchange Server のおそらく別の脆弱性についても調査していると述べていますが、新しいレポートが ProxyNotShell に関連している可能性を排除していません(情報源:The Hacker News、The Register、The Record)。
Facebook が、悪意のある 400 個のアプリのいずれかを Google Play や Apple 社の App Store でダウンロードした 100 万人以上のユーザーに対して、ログイン情報が盗まれた可能性があると警告しました。Facebook によると、それらの悪意のあるアプリは、モバイルゲーム、写真編集アプリ、フィットネス追跡アプリなどを装っています。悪意のあるアプリを通じて Facebook にログインしたユーザーは、個人情報を盗まれた可能性があります。Facebook は影響を受けたユーザーにすでに通知しており、アカウントで二要素認証を有効にして、パスワードを変更するように警告しています。それらのアプリのうち 47 個は Apple ストアのアプリで、残りは Android ベースのアプリでした(情報源:CNET、Engadget)。
Talos が発信している情報
- 『Talos Takes』エピソード#116:Lockbit 3.0 の最新動向とその他のランサムウェアの状況
- 9 月 30 日から 10 月 7 日の 1 週間における脅威のまとめ
- 現代企業にとって悪夢の存在になったランサムウェア
- VMware 社、vCenter Server のコード実行の脆弱性にパッチを適用
Talos が参加予定のイベント
GovWare 2022 (10 月 18 日~ 20 日)
シンガポール、Sands Expo & Convention Centre
Conference On Applied Machine Learning For Information Security (10 月 20 日~ 21 日)
バージニア州アーリントン郡、Sands Capital Management 社
BSides Lisbon (11 月 10 日~ 11 日)
リスボン(ポルトガル)、Cidade Universitária
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:125e12c8045689bb2a5dcad6fa2644847156dec8b533ee8a3653b432f8fd5645
MD5:2c8ea737a232fd03ab80db672d50a17a
一般的なファイル名:LwssPlayer.scr
偽装名:梦想之巅幻灯播放器
検出名:Auto.125E12.241442.in02
SHA 256:e4973db44081591e9bff5117946defbef6041397e56164f485cf8ec57b1d8934
MD5:93fefc3e88ffb78abb36365fa5cf857c
一般的なファイル名:Wextract
偽装名:Internet Explorer
検出名:PUA.Win.Trojan.Generic::85.lp.ret.sbx.tg
SHA 256:1a234656f81e870cdeb0e648a6b305a41452c405cca21124de26b54f79d55ad0
MD5:10f1561457242973e0fed724eec92f8c
一般的なファイル名:ntuser.vbe
偽装名:なし
検出名:Auto.1A234656F8.211848.in07.Talos
SHA 256:e12b6641d7e7e4da97a0ff8e1a0d4840c882569d47b8fab8fb187ac2b475636c
MD5:a087b2e6ec57b08c0d0750c60f96a74c
一般的なファイル名:AAct.exe
偽装名:なし
検出名:PUA.Win.Tool.Kmsauto::1201
SHA 256:63d543945e33b4b6088dc34d0550213dc73ea6acce248d8353c63039e8fa284f
MD5:a779d230c944ef200bce074407d2b8ff
一般的なファイル名:mediaget.exe
偽装名:MediaGet
検出名:W32.File.MalParent
本稿は 2022 年 10 月 13 日に Talos Group のブログに投稿された「Threat Source newsletter (Oct. 13, 2022) — Cybersecurity Awareness Month is all fun and memes until someone gets hurt」の抄訳です。